|
You last visited: Today at 12:42
Advertisement
[How To]Homepage vor Bruteforce Attacken schützen
Discussion on [How To]Homepage vor Bruteforce Attacken schützen within the Metin2 PServer Designs, Websites & Scripts forum part of the Metin2 Private Server category.
09/17/2014, 17:16
|
#31
|
elite*gold: 25
Join Date: Sep 2011
Posts: 5,537
Received Thanks: 1,266
|
Quote:
Originally Posted by Artiom
Ich glaub da wird sich 1/5 dran halten.
|
Du sollst es ja nicht als Vorschlag einbauen, du musst sie dazu zwingen.
|
|
|
09/17/2014, 17:20
|
#32
|
elite*gold: 150
Join Date: Jan 2014
Posts: 11,338
Received Thanks: 3,780
|
Quote:
Originally Posted by Padrio
Du sollst es ja nicht als Vorschlag einbauen, du musst sie dazu zwingen.
|
Zum Beispiel ist das von Almera2 recht gut dennoch glaub ich halten sich nicht alle dran und wie willst du das bitte Kontrollieren?
|
|
|
09/17/2014, 17:21
|
#33
|
elite*gold: 74
Join Date: Jul 2010
Posts: 13,408
Received Thanks: 3,943
|
Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.
Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.
@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.
|
|
|
09/17/2014, 17:23
|
#34
|
elite*gold: 150
Join Date: Jan 2014
Posts: 11,338
Received Thanks: 3,780
|
Quote:
Originally Posted by .StarSplash
Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.
Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.
@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.
|
Normaler Weise muss man 8 Zeichen eingeben. Aber an sowas dachte ich auch schon.
|
|
|
09/17/2014, 17:24
|
#35
|
elite*gold: 25
Join Date: Sep 2011
Posts: 5,537
Received Thanks: 1,266
|
Quote:
Originally Posted by .StarSplash
Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.
Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.
@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.
|
Anderer vorschlag wäre:
Alle published SQLs sammeln und die User // Passwort kombinationen in eine Tabelle werfen und bei der Registration prüfen ob eine solche kombination vorhanden ist. Sollte dies der fall sein einfach dem Benutzer eine Warnung anzeigen oder quer stellen und sagen es muss ein anderes Passwort gewählt werden.
|
|
|
09/17/2014, 17:27
|
#36
|
elite*gold: 150
Join Date: Jan 2014
Posts: 11,338
Received Thanks: 3,780
|
Quote:
Originally Posted by Padrio
Anderer vorschlag wäre:
Alle published SQLs sammeln und die User // Passwort kombinationen in eine Tabelle werfen und bei der Registration prüfen ob eine solche kombination vorhanden ist. Sollte dies der fall sein einfach dem Benutzer eine Warnung anzeigen oder quer stellen und sagen es muss ein anderes Passwort gewählt werden.
|
An sowas dachte ich auch schon, nur leider gibt es viele non pub SQLs.
|
|
|
09/17/2014, 17:28
|
#37
|
elite*gold: 74
Join Date: Jul 2010
Posts: 13,408
Received Thanks: 3,943
|
Das Problem ist, dass die meisten Passwortrichtlinien Passwörter erzwingen, die man sich schlecht merken kann, die aber verhältnismäßig leicht zu erraten sind.
Ein kleines Beispiel:
Passwort1: MeinNameIstHaseUndIchWeißVonNichts!
Passwort2: A!Jx1d23
Zeit1: 1207711722607832600 Sekunden
Zeit2: 331710215644 Sekunden
Die Zeiten sind wohl kaum exakt und sollen hier nur mal das Verhältnis darstellen.
Passwort 1 ist trotzdem deutlich einfacher zu merken.
|
|
|
09/17/2014, 20:09
|
#38
|
elite*gold: 1862
Join Date: Jan 2009
Posts: 3,725
Received Thanks: 7,671
|
Naja... kurz zur Info:
Passwörter "bruteforce" Attacken auf externe Datenbanken sind aufwendig und benötigen hohe Serverleistung.
Lokal gelegenes Passwort-Hash lässt sich aber mit schnellen such-Algorithmus knacken.
Glaube nicht das es auf Mt2-P-Servern (immernoch) lohnt, da des meisten die Datenbank abschmiert oder DoS Firewall aufspringt.
|
|
|
09/18/2014, 01:33
|
#39
|
elite*gold: 17
Join Date: May 2014
Posts: 2,094
Received Thanks: 1,279
|
Da fällt mir gerade was ein wobei ich aber nicht weis ob es eine sinnvolle idee währe.
Man muss erst einmal ein Captcha lösen BEVOR man überhaupt zum Login Feld kommt und dann beim Einloggen muss man nochmal ein Captcha eingeben. Wäre das nicht eine effektive lösung? 2 mal verschiedenes Captcha knacken.. xD
|
|
|
09/18/2014, 02:22
|
#40
|
elite*gold: 74
Join Date: Jul 2010
Posts: 13,408
Received Thanks: 3,943
|
Ja, das würde den Aufwand verdoppeln, aber du möchtest doch nicht jeden vergraulen oder?
Eine simple Möglichkeit wäre, nach dem einloggen eine Sekunde verstreichen zu lassen bis der nächste Loginversuch stattfinden kann, und das global. Für einen pServer mit einigen Hundert - Tausend Benutzern ist das durchaus praktikabel, die Wahrscheinlichkeit, dass sich derart viele Nutzer gleichzeitig anmelden wollen, dass es zu einer ernsthaften Warteschlange kommt ist wohl eher gering. Einen Brute-Force-Angriff über deine Webseite machst du damit aber völlig unmöglich, denn bei einem Versuch pro Sekunde kriegst du nicht einmal verhältnismäßig simple Passwörter in absehbarer Zeit geknackt.
Solange niemand an deine Datenbank kommt, ist das also eine sichere Möglichkeit.
|
|
|
09/18/2014, 09:41
|
#41
|
elite*gold: 25
Join Date: Sep 2011
Posts: 5,537
Received Thanks: 1,266
|
Quote:
Originally Posted by .StarSplash
Ja, das würde den Aufwand verdoppeln, aber du möchtest doch nicht jeden vergraulen oder?
Eine simple Möglichkeit wäre, nach dem einloggen eine Sekunde verstreichen zu lassen bis der nächste Loginversuch stattfinden kann, und das global. Für einen pServer mit einigen Hundert - Tausend Benutzern ist das durchaus praktikabel, die Wahrscheinlichkeit, dass sich derart viele Nutzer gleichzeitig anmelden wollen, dass es zu einer ernsthaften Warteschlange kommt ist wohl eher gering. Einen Brute-Force-Angriff über deine Webseite machst du damit aber völlig unmöglich, denn bei einem Versuch pro Sekunde kriegst du nicht einmal verhältnismäßig simple Passwörter in absehbarer Zeit geknackt.
Solange niemand an deine Datenbank kommt, ist das also eine sichere Möglichkeit.
|
Oder eine Login-Sperre für X Sekunden wenn sich ein Benutzer bspw. 3 mal versucht hat mit Falschen Daten anzumelden.
|
|
|
09/18/2014, 09:55
|
#42
|
elite*gold: 266
Join Date: May 2010
Posts: 4,650
Received Thanks: 5,612
|
Quote:
Originally Posted by Padrio
Oder eine Login-Sperre für X Sekunden wenn sich ein Benutzer bspw. 3 mal versucht hat mit Falschen Daten anzumelden.
|
Ich würde mehr die IP sperren wenn zu oft die falschen Daten verwendet wurden. Eine PIN Funktion hilft auch(so wie auf Legonia oder wie der Server geheißen hat).
|
|
|
09/18/2014, 10:01
|
#43
|
elite*gold: 25
Join Date: Sep 2011
Posts: 5,537
Received Thanks: 1,266
|
Quote:
Originally Posted by .Zeref#
Ich würde mehr die IP sperren wenn zu oft die falschen Daten verwendet wurden. Eine PIN Funktion hilft auch(so wie auf Legonia oder wie der Server geheißen hat).
|
Bei Proxys bringt eine IP Sperre nichts, in dem falle halt dem kompletten Account einen Temp-Bann geben das er sich nicht anmelden kann.
Und den Temp Bann dann aber nicht im Browser Speicher, oder die IP Sperren oder sonst was (kann man alles umgehen), sondern das in der Datenbank speichern das dieser Benutzer sich für x Sekunden nicht anmelden darf.
Das ganze kann man dann bspw. auch Exponentiell oder Linear für alle weiteren fehlschläge erhöhen, das der Temp Bann immer länger dauert.
|
|
|
09/18/2014, 10:10
|
#44
|
elite*gold: 266
Join Date: May 2010
Posts: 4,650
Received Thanks: 5,612
|
Quote:
Originally Posted by Padrio
Bei Proxys bringt eine IP Sperre nichts, in dem falle halt dem kompletten Account einen Temp-Bann geben das er sich nicht anmelden kann.
Und den Temp Bann dann aber nicht im Browser Speicher, oder die IP Sperren oder sonst was (kann man alles umgehen), sondern das in der Datenbank speichern das dieser Benutzer sich für x Sekunden nicht anmelden darf.
Das ganze kann man dann bspw. auch Exponentiell oder Linear für alle weiteren fehlschläge erhöhen, das der Temp Bann immer länger dauert.
|
Viele verwenden keine Proxy, bzw wissen nicht mal wo sie sie her kriegen.
Das PIN System ist trotzdem die kostengünstigste Lösung.^^
|
|
|
09/18/2014, 10:25
|
#45
|
elite*gold: 25
Join Date: Sep 2011
Posts: 5,537
Received Thanks: 1,266
|
Quote:
Originally Posted by .Zeref#
Viele verwenden keine Proxy, bzw wissen nicht mal wo sie sie her kriegen.
Das PIN System ist trotzdem die kostengünstigste Lösung.^^
|
Wie kommst du jetzt auf Kostengünstig?
|
|
|
|
|
Similar Threads
|
CS:S DDOS Attacken rausfinden & Schützen?
06/20/2013 - Counter-Strike - 4 Replies
Hallo epvp,
Ich hab 2 Fragen, kann man sich vor DDOS-Attacken Schützen? Kann man rausfinden von wem der DDOS Angriff gestartet wurde?
Es ist oft so ( ESL ) wenn man mal ein Versus spielt und es Leute dabei sind die einfach mal Ihrgend welche Spieler DDOSn müssen , die dann ein High Ping kriegen und am ende ein Timeout und der Router abkackt.
Letztens war es wieder der Fall, ich hatte diesmal aber Wireshark laufen und hab den Log abgespeichert weil ich dadurch einfach nicht schlauer werde...
|
Ein wenig vor Direkten DoSs Attacken auf der hp schützen
08/02/2010 - Metin2 Private Server - 10 Replies
Hey Leute ich hab mal was kleines gefunden was ich noch aufem rechner hatte.
Also es ist ein Kleines anti DoS Script wen jemand Direkte angriffe auf eure HP aus übt.
Ich habs nicht getestet aber ich denk mal es Funktioniert :P
Speichert das Script in irgent einer php zb blabladosmichdoch.php
|
Attacken ID'S
06/11/2010 - Diablo 2 - 3 Replies
hat jemand einmal alle Atacken ?!
hab inenr sufu shcon unter Atacken ID geguckt aber nix gefunden^^
|
Attacken der VWK´s
11/08/2009 - Metin2 Private Server - 10 Replies
Huhu,
kann man i-wie ändern das wenn man verwandelt ist (nehmen wir zum Beispiel Tigergeist) die Skills von dem machen?
Weil er greift ja nur mit normalen Schlägen an und nicht wie bei Neuni mit Flammen/Eisregen oder wie im Beispiel der Tigergeist mit diesem Donner.
Ich denke aber das man das nicht in der DB ändern kann oder?
Naja hoffe auf Antworten.
|
Nur ein Mob-Art attacken?
10/29/2004 - Ragnarok Online - 2 Replies
Ich würde gerne wissen wie ich mein Modkore Bot dazu bringe nur eine Monster-Art z.B. Rocker zu attacken. Geht das?
text2schild.php?smilienummer=1&text=MfG ZeuS' border='0' alt='MfG ZeuS' />
|
All times are GMT +2. The time now is 12:42.
|
|